サイバーセキュリティ機関であるCISAは、Ivanti Endpoint Manager Mobile(EPMM)の2つの脆弱性を標的とした攻撃で使用されたマルウェアに関する技術情報を共有しました。
これらの脆弱性はCVE-2025-4427(CVSSスコア5.3)およびCVE-2025-4428(CVSSスコア7.2)として追跡されており、ハッカーによる攻撃で悪用された後、5月13日に公開されました。
これら2つの脆弱性の悪用は、概念実証(PoC)エクスプロイトコードが公開された数日後に激化しました。5月下旬には、UNC5221として追跡される中国関連の脅威アクターがこれらを悪用した攻撃を行っていたことが明らかになりました。
これらのセキュリティ欠陥は、EPMMに組み込まれた2つのオープンソースライブラリで発見された認証バイパスとリモートコード実行(RCE)の問題であり、組み合わせて認証なしでRCEを実現できます。
現在、CISAは詳細情報、侵害指標(IoC)、および2種類のマルウェア(5つのファイル)に対する検出ルールを共有しています。これらは、脆弱なIvanti EPMMインスタンスの悪用によって侵害されたネットワークから収集されました。
脆弱性を連鎖させることで、脅威アクターはEPMMを実行しているサーバーにアクセスし、リモートコマンドを実行してシステム情報の収集、ルートディレクトリの一覧表示、悪意のあるファイルの展開、ネットワーク偵察、スクリプトの実行、LDAP認証情報のダンプなどを行いました。
ハッカーは一時ディレクトリに2種類のマルウェアを展開し、それぞれが「サイバー脅威アクターが侵害されたサーバー上で任意のコードを注入・実行することで永続性を確保する」ものだったとCISAは述べています。
両方のマルウェアセットには、ローダーと悪意のあるリスナーが含まれており、攻撃者が侵害されたサーバー上で任意のコードを展開・実行できるようになっていたとCISAは説明しています。これらのマルウェアは、シグネチャベースの検出やサイズ制限を回避するために分割して展開されていました。
広告。スクロールして続きを読む。
最初のマルウェアセットには、Javaオブジェクトを操作して(同じサーバー上で動作する)Apache Tomcatに悪意のあるリスナーを注入するためのマネージャーも含まれていました。このリスナーは特定のHTTPリクエストを傍受し、それらを処理してペイロードをデコード・復号し、動的に新しいクラスを構築・実行しました。
2番目のマルウェアセットに含まれる悪意のあるリスナーは、特定のHTTPリクエストからパスワードパラメータを取得・復号し、新たな悪意のあるクラスを定義・ロードし、クラスの出力を暗号化・エンコードし、レスポンスを生成するよう設計されていました。
CISAは、できるだけ早くIvanti EPMMを修正版(バージョン11.12.0.5、12.3.0.2、12.4.0.2、12.5.0.1以降)にアップデートし、モバイルデバイス管理(MDM)システムに追加の制限と監視を実施し、サイバーセキュリティのベストプラクティスに従うことを推奨しています。
関連記事: CISA:CVEプログラムは脆弱性データの品質に注力
関連記事: 今すぐ視聴:アタックサーフェスマネジメントサミット – 全セッション公開中
翻訳元: https://www.securityweek.com/cisa-analyzes-malware-from-ivanti-epmm-intrusions/
